Ob Schrittzähler, Pulsmesser oder Kalorienrechner – zahllose Apps zur Vermessung des eigenen Alltags (quantified-self) gehören inzwischen zum Alltag. Europas oberste Datenschützer sehen die Entwicklung mit Sorge und verlangen die Einhaltung strenger Datenschutzstandards. Denn, so die sog. Art. 29-Gruppe, die gesammelte Informationen seien als gesundheitsbezogene Daten besonders sensibel (siehe dazu die Stellungnahme).
Gesundheitsdaten sind nach dem BDSG – und der zugrunde liegenden EU-Richtlinie – besonders geschützt. Denn sie lassen in besonderer Weise Rückschlüsse auf die Person des Betroffenen zu. Geraten sie in falsche Hände oder werden sie in unzulässiger Art verbreitet, kann dies zu einem massiven und kaum wiedergutzumachenden Schaden bei dem Betroffenen führen.
Was aber Gesundheitsdaten in diesem Sinne eigentlich sind, lässt sich gerade in Zeiten von Big Data nicht so leicht ausmachen. Natürlich zählen hierzu die originär medizinischen Daten, die z.B. bei einer Arzt- oder Krankenhausbehandlung oder in der Apotheke anfallen.
Nach – richtiger – Ansicht der Art. 29-Gruppe sind aber auch solche Daten als Gesundheitsdaten anzusehen, die außerhalb medizinischer Behandlung erhoben werden und allein oder in Kombination mit anderen Daten Angaben zum Gesundheitszustand erhalten. So wird beispielsweise eine Schrittzähler-App, die zwar dauerhaft Daten sammelt, jedoch kaum Schritte zählt, einen Bewegungsmangel belegen. Werden die Apps noch mit weiteren Angaben zu Alter, Größe und Gewicht, Rauch- oder Trinkverhalten kombiniert, um z.B. Empfehlungen für die tägliche Schrittzahl auszusprechen, entsteht schnell ein recht aussagekräftiges Gesundheitsprofil.
Werden diese Daten, was meist der Fall ist, nicht allein auf dem Gerät selbst verarbeitet (also z.B. dem Smartphone des Betroffenen), sondern auf Servern des App-Herstellers, bedarf es für die Zulässigkeit dieser Erhebung und Verarbeitung einer Einwilligung des Betroffenen. Das gilt natürlich erst recht, wenn der Betroffene die Daten mit anderen Nutzern in einer Community teilt.
Die Art. 29-Gruppe empfiehlt, durch Maßnahmen des privacy-by-design und der Anonymisierung die Datenflut möglichst gering zu halten. Zumindest aber müsse der Betroffene eine informierte Einwilligung hinsichtlich der Datenverarbeitung erteilen, und zwar vor (!) Download der App. Diese Einwilligungserklärungen haben es in sich. Denn der Betroffene muss sämtliche Datenkategorien kennen, die erhoben werden. Außerdem muss er genau darüber informiert werden, zu welchen Zwecken und von wem die Daten erhoben, verarbeitet und genutzt werden.
Bislang werden diese Vorgaben vielfach nicht eingehalten. Die Art. 29-Gruppe ist zwar kein Gesetzgebungsorgan, und ihre Empfehlungen binden auch kein Gericht. Aber als Arbeitskreis der europäischen Datenschutzbehörden geben die Veröffentlichungen immer wieder eine wertvolle Richtschnur dafür vor, wie die Datenschützer mit bestimmten Fragen umgehen wollen. Es steht also zu vermuten, dass auch die deutschen Aufsichtsbehörden Gesundheits-Apps in Zukunft genauer unter die Lupe nehmen werden.
Dabei sind neben den vorgenannten Anforderungen an die Zulässigkeit der Datenerhebung über solche Apps auch weitere Anforderungen zu beachten, die aus der Verarbeitung von Gesundheitsdaten folgen. So ist beispielsweise in solchen Unternehmen – unabhängig von der Mitarbeiterzahl – stets ein betrieblicher Datenschutzbeauftragter zu bestellen.