Datenschutzkonferenz: Gesundheitsdaten nicht an Dritte weitergeben

Die Datenschutz­konferenz musste feststellen, dass Betreiber von sogenannten Gesundheits­webseiten und Gesundheits-Apps auch sensible personenbezogene Nutzerdaten an Dritte weiterleiten, ohne eine Grundlage dafür anzugeben.

Unter anderem geschieht dies durch Tracking -und Analyse-Tools, von deren Einsatz die betroffenen Personen keinerlei Kenntnis haben. Eine NGO hatte im September 2019 eine Studie veröffentlicht, aus der hervorgeht, dass zahlreiche Betreiber von Gesundheits­webseiten, die ihren Besuchern Informationen zu Depressionen und anderen psychischen Erkrankungen anbieten, personenbezogene Daten ohne adäquate Einbindung der Nutzer an andere Anbieter weitergeleitet haben sollen. Teilweise wurde in diesem Rahmen sogar die Teilnahme an Depressions-Selbsttests aufgezeichnet. Weit über die Hälfte der 44 analysierten deutschen Webseiten besitzen laut der Studie Plug-Ins, die dies ermöglichen.

Im Oktober 2019 wurden Recherchen veröffentlicht, nach denen eine Diagnostik-App aus Deutschland ebenfalls Tracking-und Analyse-Dienste nutze. Diese sammelte unter anderem sensible Gesundheitsdaten wie z.B. körperliche Beschwerden und leitete diese ohne vorherigen Hinweis an Dritte weiter.
Zu den Datenempfängern gehören häufig - neben sonstigen Tracking-Dienstleistern - große Unternehmen wie Facebook, Google und Amazon, die vorrangig eigene Geschäfts­interessen verfolgen. Die Verknüpfung der weitergeleiteten Daten mit anderen Informationen begründet jedoch das Risiko, dass für jeden Nutzer ein personen­bezogenes Gesundheitsprofil entsteht, dessen Existenz dem Betoffenen verborgen bleibt.

Die unabhängigen Datenschutz­auf­sichtsbehörden des Bundes und der Länderprüfen derartige Hinweise und werden Datenschutz­ver­letzungen gegebenenfalls sanktionieren. Zugleich fordern sie den Gesetzgeber aber auch dazu auf, im Zusammenhang mit der bevorstehenden Einführung digitaler Gesundheits­an­wendungen in die Regelversorgung den Schutz der Vertraulichkeit sensibler Gesundheitsdaten sicherzustellen. So sei es beispielsweise nicht hinnehmbar, wenn die Nutzung einer von der Regelversorgung erfassten Gesundheits-App zwingend an solche gesetzlich nicht vorgesehenen Weiterleitungen von Gesundheitsdaten gekoppelt würde.
Die Betreiber von Gesundheits­webseiten und Gesundheits-Apps werden dagegen aufgefordert, die berechtigten Erwartungen der Nutzer im Bezug auf die Vertraulichkeit ihrer Daten zu achten. 

Unabhängig von den allgemeinen datenschutz­rechtlichen Anforderungen für die Weitergabe personen­bezogener Gesundheitsdaten seien dabei insbesondere folgende Anforderungen zu beachten:

  • Leiten Betreiber von Gesundheits­webseiten und Gesundheits-Apps personenbezogene Nutzungsdaten an andere Stellen weiter, sind sie für diese Datenweitergabe verantwortlich, selbst wenn sie – wie etwa bei der Einbindung von Social Plugins - keinen eigenen Zugriff auf die weitergeleiteten Daten haben. 

  • Als Verantwortliche sind Betreiber verpflichtet, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutz­freundliche Voreinstellungen zu beachten. Die eingangs beschriebene Weiterleitung von Gesundheitsdaten kann nach Art. 9 Abs. 1, 2 lit. a DS-GVO ausnahmsweise nur auf Grundlage einer vor der Datenver­arbeitung eingeholten ausdrücklichen Einwilligung zulässig sein, die auch den übrigen Wirksamkeits­vor­aus­setzungen einer datenschutz­rechtlichen Einwilligung genügen muss. 

  • Insbesondere unterliegt die Einwilligung in die Verarbeitung von Gesundheitsdaten strengen Transparenz­an­forderungen: Sie muss konkret benennen, wer für die Verarbeitung verantwortlich ist und welche Kategorien personen­bezogener Daten verarbeitet werden. Auch die Zwecke der Datenver­arbeitung und die mögliche weitere Empfänger der Daten sind offenzulegen. Diese Informationen müssen die Nutzerinnen und Nutzer in die Lage versetzen, sich über die Konsequenzen ihrer erteilten Einwilligung bewusst zu werden.

  • Im Rahmen der Regelversorgung wäre die einwilli­gungsbasierte Weiterleitung von Nutzerdaten an Tracking- oder Analyse-Dienstleister oder sonstige Dritte, die nicht Teil der Gesundheits­versorgung sind, nur zulässig, wenn dies gesetzlich geregelt würde. Gegen eine solche gesetzliche Regelung bestehen allerdings im Hinblick auf das Erfordernis der freiwilligen Einwilligung erhebliche Bedenken.

Zuletzt weist Datenschutz­konferenz darauf hin, dass sich u.a. aus dem dargestellten Sachverhalt erneut die dringende Notwendigkeit ergibt, die geplante ePrivacy-Verordnung möglichst bald zu verabschieden. Darin müssen die Bedürfnisse des elektronischen Datenverkehrs mit den Grundrechten in Einklang gebracht werden. Dazu sind insbesondere Regelungen erforderlich, die den gebotenen hohen Schutz sensibler Daten effektiv sicherstellen.

Zu der Entschließung der DSK hier.

Zu einem Whitepaper der DSK bezüglich der Verwendung von Messengerdiensten im Krankehausbereich hier.