eHealth: Artikel-29-Gruppe definiert Gesundheitsdaten neu

Die Artikel-29-Datenschutzgruppe des europäischen Parlaments befasst sich in einem neuen White Paper mit den datenschutzrechtlichen Bewertungen und Anforderungen an Gesundheitsdaten. Im Zuge der Entwicklung der Electronic Healthcare (eHealth) werden diese neu definiert.

Im letzte Woche veröffentlichten White Paper „ANNEX – health data in apps and devices trifft die Art.-29-Datenschutzgruppe Entscheidungen, welche Daten sie als Gesundheitsdaten begreift – und die folglich einen höheren Grad an Datenschutz aufweisen müssen – sowie welche Anforderungen sie an den Schutz dieser sensitiven Daten stellt. Zwar haben die Stellungnahmen der Art.-29-Datenschutzgruppe keine rechtlich bindende Wirkung. In der Praxis sind selbige jedoch einflussreich, da sie oftmals die maßgebliche Richtschnur für die rechtliche Auslegung der nationalen Aufsichtsbehörden darstellen.

Was sind Gesundheitsdaten? – Anwendungsbereich sehr ausgedehnt

In ihrem White Paper fasst die Datenschutzgruppe den Begriff der Gesundheitsdaten sehr weit und dehnt damit den erhöhten Schutz und dessen Anwendbarkeit spürbar aus. Die Datenschutzgruppe sieht nicht nur medizinische Daten („medical data“; die in jedem Fall als Gesundheitsdaten zu werten sind) als Gesundheitsdaten, sondern medizinische Daten sind nur ein Teil der Gesundheitsdaten („health data“), der Terminus der Gesundheitsdaten sei entsprechend breiter zu fassen. Beispielhaft werden in dem White Paper als Gesundheitsdaten auch Informationen darüber verstanden, ob eine Person eine Brille oder Kontaktlinsen trägt oder ob eine Person an gesundheitlichen Beeinträchtigungen leidet, die im Notfall eine spezielle Maßnahme erforderlich machen („asthma“). Auch die Mitgliedschaft in einer Vereinigung zur Hilfe von bestimmten Krankheitsgruppen („patient support groups“ in Unterscheidung zu „self-help groups“) wird als Gesundheitsdatum gewertet. Laut letzterem Beispiel ist es somit in einigen Fällen nicht einmal notwendig, dass der Betroffene an einer bestimmten Krankheit oder Beeinträchtigung leidet, damit diese Information als besonderes personenbezogenes Datum betrachtet wird. Gerade dieses Beispiel verdeutlicht anschaulich, wie weit der Anwendungsrahmen reichen kann. Auch die Berechnung der Herzfrequenz und des Blutdrucks durch Health-Apps und Fitness-Apps z.B. durch Wearables zählt, nach Ansicht der Datenschutzgruppe, ausdrücklich als Verarbeitung von Gesundheitsdaten.

Entwickler und Anbieter von eHealth-Produkten geraten somit relativ schnell in den Anwendungsbereich für besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG).

Healthcare zukunftsfähig machen – mit Datenschutz von Beginn an

In Anbetracht dieser Forderungen stellt sich die Frage, wie die Zukunft der Healthcare datenschutzkonform gestaltet werden kann? Die europäische Datenschutzgruppe sieht privacy by design als wichtiges Zukunftsinstrument schon bei der Entwicklung der Anwendungen. Die Artikel-29-Datenschutzgruppe versucht zudem die datenschutzkonforme Verwendung von eHealth-Anwendungen in der Zukunft durch eine Verschärfung der rechtlichen Anforderungen zu stärken:

Schutz soll angepasst werden – Pseudonymisierung kein Grund für weniger strenge Haftungsregeln

So hat sie im White Paper ihre Ansicht aus dem „Statement on the role of a risk-based approach in data protection legal frameworks“ vom 30.5.2014 revidiert, wonach die Grundprinzipien der Datenverarbeitung („Legitimität, Datensparsamkeit, Zweckbindung, Transparenz, Datenintegrität, Datengenauigkeit“) gleich bleiben müssen, unabhängig um welche Datenverarbeitung und um welches Risiko für den Betroffenen es sich handelt. Gleichzeitig hat die Arbeitsgruppe ihre Besorgnis über die Einführung des Konzepts einer weniger strengen Datenschutzregelung für pseudonymisierte Daten zum Ausdruck gebracht. Eine Pseudonymisierung könne ihrer Ansicht keine prinzipielle Rechtfertigung für eine weniger strenge Haftungspflicht im Umgang mit Daten darstellen.

Ferner möchte die Datenschutzgruppe stattdessen erreichen, dass auch bei der Verarbeitung pseudonymisierter Gesundheitsdaten eine ausdrückliche Einwilligung des Betroffenen erforderlich sein soll und dies Eingang in die Datenschutzgrundverordnung finden würde. Nach der jetzigen Rechtslage stellt dies einen Appell, aber keine allgemeingeltende Verpflichtung dar. Ob eine Einwilligung notwendig ist, muss i.d.R. je nach Einzelfall beurteilt werden. Deshalb begrüßt es die Art.-29-Datenschutzgruppe, wenn die Kommission der EU es bereits nach jetzt geltendem Recht klarstellen würde, dass eine ausdrückliche Einwilligung des Betroffenen bei der Erhebung von Gesundheitsdaten zu historischen, statistischen und Forschungszwecken eingeholt werden soll, selbst wenn diese pseudonymisiert erhoben werden.

Um diesen hohen Anforderungen gerecht zu werden eignet sich der Ansatz des privacy by design, der auch von den Aufsichtsbehörden favorisiert wird. So können Entwickler und Dienstleister zu Beginn sämtliche wichtigen Weichen stellen, wie ordnungsgemäße Einwilligungen, Cookie-Setzungen, Datenweitergabe und -verarbeitung.