Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

eHealth

Unter den Sammelbegriff E-Health (Abkürzung für Electronic Health)  werden alle Anwendungen, Hilfsmittel und Dienstleistungen gefasst, die zur Behandlung und Betreuung von Patientinnen und Patienten elektronische Informations- und Kommunikationstechnologien nutzen.

Arzt auf Smartphone, davor ein Stethoskop
Quelle: Adobe Stock/ipopba

Beispielhaft ist die Verwendung von digitalen Gesundheits- oder Pflegeanwendungen in Form einer App oder auch die zum 1. Januar 2021 eingeführte elektronische Patientenakte (ePA), auf der neben Behandlungsdaten unter anderem auch Notfalldaten oder ein Medikationsplan elektronisch dokumentiert werden können, zu nennen. Weiterhin fallen auch telemedizinische Anwendungen sowie Videosprechstunden darunter.

Der Einsatz von Informations- und Kommunikationstechnik in der Gesundheitsversorgung ist im Zeitalter der digitalisierten Medizin unabdingbar. Allerdings müssen die in diesem Zusammenhang rechtlich gebotenen und nach dem Stand der Technik angemessenen Vorkehrungen zu einem effektiven Schutz der Daten von Patientinnen und Patienten flächendeckend getroffen werden.

Bei allen Anwendungen müssen der Schutz und die Sicherheit von Patientendaten in der medizinischen Behandlung nach der DSGVO umfassend sichergestellt sein. Auch darf der effektive Schutz von Gesundheitsdaten nicht von der Größe der jeweiligen Versorgungseinrichtung abhängen.

Gesundheits-Apps

Der Einsatz von Gesundheits-Apps birgt beispielsweise erhebliche datenschutzrechtliche Risiken. Zumeist unzureichende oder unverständliche Datenschutzerklärungen verursachen mangelnde Transparenz; die Nutzer wissen nicht, was mit ihren sensiblen Daten geschieht und worin sie einwilligen. Mängel in der technischen Datensicherheit können Unbefugten Datenzugriff ermöglichen: Das Auslesen von Login-Daten, die Weitergabe sensibler Gesundheitsdaten an Dritte oder die Einspeisung von Schadsoftware in das Gerät sind mögliche Konsequenzen. Mangelhafte oder fehlerhafte Verschlüsselung und dadurch ungeschützte Kommunikationswege erhöhen die Wahrscheinlichkeit unbefugter Zugriffe.

Ein erhebliches Risiko für die Nutzer birgt auch die unberechtigte und unkontrollierte Zusammenführung sowie Auswertung der Daten. Selbst wenn personenbezogene Daten aus Apps anonymisiert verwendet würden, können die erfassten Körperdaten mit Daten kombiniert werden, die an anderer Stelle über die Nutzer frei verfügbar sind, und so zu einer Re-Identifizierung der Nutzer führen. Dadurch ließen sich umfassende Gesundheitsprofile einzelner Menschen erstellen und im Geschäftsverkehr, im Versicherungswesen oder in anderen Zusammenhängen ohne Wissen der Nutzer gegen diese verwenden.

Bei den gesetzlich geregelten Digitalen Gesundheitsanwendungen (DiGAs) wurde seitens des Gesetzgebers zunächst lediglich eine Herstellererklärung zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben vorgesehen, die  vor Aufnahme in das Verzeichnis des BfArM vorliegen musste, was der BfDI im Gesetzgebungsverfahren immer wieder kritisiert hat. Daraufhin wurde allerdings die zunächst gesetzlich vorgesehene Herstellererklärung durch eine ab August 2024 verpflichtende Datenschutzzertifizierung der jeweiligen DIGA ersetzt. Für diese Zertifizierung hat das BfArM im Juli 2022 die zugrundeliegenden Prüfkriterien veröffentlicht.