Gesundheitsdaten: Datenschützer mahnen und fordern gesetzliche Regelungen

Im Rahmen ihrer 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, haben die teilnehmenden Behördenvertreter in Schwerin einen Entschluss verfasst der technikvernarrte Nutzer zum vorsichtigen Umgang mit den persönlichen Gesundheitsdaten mahnt.

Das Papier (PDF-Link), das unter anderem auf der Seite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg Vorpommern eingesehen werden kann, schlägt damit in die gleiche Kerbe wie die Verbraucherzentralen – ifun.de berichtete.

So fordert die Datenschutzkonferenz unter anderem den Gesetzgeber dazu auf, zu prüfen, ob und inwieweit die Möglichkeit beschränkt werden sollte, materielle Vorteile von der Einwilligung in die Verwendung von Gesundheitsdaten abhängig zu machen. Ihr erinnert euch vielleicht noch an die ersten Vorstöße der Versicherer.

Die Datenschutzbeauftragten weisen darauf hin, dass zum notwendigen Schutz von Gesundheitsdaten die Grundsätze der Datenvermeidung, Datensparsamkeit und der Transparenz zu beachten sind. Hersteller von Wearables und Gesundheits-Apps fordert die Konferenz auf, datenschutzfreundliche Technologien und Voreinstellungen einzusetzen und für eine am Nutzer orientierte Transparenz Sorge zu tragen.

Hier die fünf relevanten Punkte des Papiers

• Die Grundsätze der Datenvermeidung und Datensparsamkeit sind zu beachten. Insbesondere Hersteller von Wearables und Gesundheits-Apps sind aufgerufen, datenschutzfreundliche Technologien und Voreinstellungen einzusetzen (Privacy by Design and Default). Hierzu gehören Möglichkeiten zur anonymen bzw. pseudonymen Datenverarbeitung. Soweit eine Weitergabe von Gesundheits- und Verhaltensdaten an Dritte nicht wegen einer medizinischen Behandlung geboten ist, sollten Betroffene sie technisch unterbinden können (lediglich lokale Speicherung).
• Die Datenverarbeitungsprozesse, insbesondere die Weitergabe von Gesundheits- und Verhaltensdaten an Dritte, bedürfen einer gesetzlichen Grundlage oder einer wirksamen und informierten Einwilligung. Sie sind transparent zu gestalten. Für das Persönlichkeitsrecht riskante Datenverwendungen, insbesondere Datenflüsse an Dritte, sollten für die Nutzerinnen und Nutzer auf einen Blick erkennbar sein. Beispielsweise könnte die Anzeige des Vernetzungsstatus die aktuellen Weitergabe-Einstellungen veranschaulichen. Eine solche Verpflichtung zur erhöhten Transparenz sollte gesetzlich verankert werden.
• Einwilligungserklärungen und Verträge, die unter Ausnutzung eines erheblichen Verhandlungsungleichgewichts zwischen Verwendern und den betroffenen Personen zustande kommen, sind unwirksam und liefern keine Rechtsgrundlage für Verarbeitungen. Das gilt namentlich für besonders risikoträchtige Verwendungszusammenhänge, etwa in Beschäftigungs- und Versicherungsverhältnissen.
• Verbindliche gesetzliche Vorschriften zur Datensicherheit, insbesondere zur Integrität und Vertraulichkeit von Daten, können nicht durch Verträge oder durch Einwilligungserklärungen abbedungen werden.
• Wer aus eigenen Geschäftsinteressen gezielt bestimmte Wearables und Gesundheits-Apps in den Umlauf bringt oder ihren Vertrieb systematisch unterstützt, trägt eine Mitverantwortlichkeit für die rechtmäßige Ausgestaltung solcher Angebote. In diesem Sinne Mitverantwortliche haben sich zu vergewissern, dass die Produkte verbindlichen Qualitätsstandards an IT-Sicherheit, Funktionsfähigkeit sowie an Transparenz der Datenverarbeitung genügen.